将 Workspace ONE UEM MDM 功能与 Workspace ONE UEM 应用结合使用来进一步提高安全性和功能。在整个生命周期内从 UEM Console 跨员工所有设备、企业所有设备和共享设备轻松管理 Workspace ONE UEM 应用。

通过 Workspace ONE UEM 应用程序,您和您的最终用户可以:

  • 探知 VMware Workspace ONE Content 以同步个人内容文件夹。
  • 配置 VMware Workspace ONE Web 以保护 Internet 搜索。
  • 启用 VMware Workspace ONE Boxer 以配置电子邮件。
  • AirWatch Container 可以作为 MDM 的替代,其能够在设备上将公司数据与个人数据分开,同时维护员工隐私权。

有关管理应用程序的详细信息,请参见移动应用管理

适用于 iOS 的 VMware Workspace ONE Intelligent Hub

适用于 iOS 的 VMware Workspace ONE Intelligent Hub 将收集受管设备信息并将其传送到 UEM console。由于此信息可能包含敏感数据,Workspace ONE UEM 采取了各种措施来确保该信息受到加密保护且来自受信任的来源。

Workspace ONE UEM 使用唯一证书对来签名并加密适用于 iOS 的 VMware Workspace ONE Intelligent Hub 与服务器之间的所有通信。服务器也可以通过这些证书来验证 Workspace ONE UEM 内注册的每台设备的身份和真实性。此概览详述了两种安全增强方式的好处和必要性。

了解证书交换

传输任何数据之前,VMware Workspace ONE Intelligent Hub 应用程序和服务器都会交换个性化证书。当适用于 iOS 的 VMware Workspace ONE Intelligent Hub 在注册过程中首次签入到 Workspace ONE UEM 服务器时,将建立这种关系。

  1. 适用于 iOS 的 VMware Workspace ONE Intelligent Hub 将与 Workspace ONE UEM 服务器通信以获取服务器的证书公钥。适用于 iOS 的 VMware Workspace ONE Intelligent Hub 和 Workspace ONE UEM 服务器都信任 Workspace ONE UEM 根证书的公钥,并使用该公钥验证注册交换过程中涉及的所有证书的真实性。
  2. 适用于 iOS 的 VMware Workspace ONE Intelligent Hub 根据 Workspace ONE UEM 根 CA 证书验证服务器的证书。
  3. 适用于 iOS 的 VMware Workspace ONE Intelligent Hub 将唯一证书公钥发送到 Workspace ONE UEM 服务器。
  4. Workspace ONE UEM 服务器将 VMware Workspace ONE Intelligent Hub 的证书与数据库中的相应设备相关联。

保护传输中的数据

首次交换证书之后,所有发送到 UEM Console 的数据会从此时起加密。下表列出了事务中涉及的两个证书及其职责。

Hub 证书 服务器证书
VMware Workspace ONE Intelligent Hub 签名数据 加密数据
Workspace ONE UEM 服务器 验证数据来源 解密数据

API 和应用程序的功能

Workspace ONE UEM 使用两种类别的 API 来管理和跟踪 iOS 设备:

  • 无论是否使用适用于 iOS 的 VMware Workspace ONE Intelligent Hub,都会在注册过程中激活空中传输 (OTA) MDM API
  • 本机 iOS SDK API 可用于任何第三方应用程序,包括 VMware Workspace ONE Intelligent Hub 应用程序和使用 Workspace ONE UEM 软件开发工具包 (SDK) 的任何其他应用程序。

适用于 iOS 的 VMware Workspace ONE Intelligent Hub 作为代理应用程序与本机 iOS SDK API 管理层相集成。将适用于 iOS 的 VMware Workspace ONE Intelligent Hub 与适用于 iOS 的 Workspace ONE UEM SDK 结合使用时,管理员就能利用空中传输 (OTA) MDM API 层所提供应用程序功能以外的其他 MDM 功能。

  • 为 iOS 设备配置 VMware Workspace ONE Intelligent Hub 设置
    您可以在 UEM console 中自定义 VMware Workspace ONE Intelligent Hub 设置。例如,指定要用于 VMware Workspace ONE Intelligent Hub 的 SDK 配置文件,以利用 Workspace ONE UEM 功能。
  • 适用于 iOS 的 VMware Workspace ONE Intelligent Hub 移动应用程序
    在注册 VMware Workspace ONE Intelligent Hub 后,应用程序默认转到我的设备屏幕。您可以在此处查看有关设备的实时信息、同步设备、重新注册设备以及阅读已从 UEM 控制台发送的消息。

为 iOS 设备配置 VMware Workspace ONE Intelligent Hub 设置**

您可以在 UEM console 中自定义 VMware Workspace ONE Intelligent Hub 设置。例如,指定要用于 VMware Workspace ONE Intelligent Hub 的 SDK 配置文件,以利用 Workspace ONE UEM 功能。

过程

  1. 导航到设备 > 设备设置 > Apple > Apple iOS > Hub 设置
  2. 为 VMware Workspace ONE Intelligent Hub 配置以下设置:
设置 说明
禁用 Hub 中的取消注册 此设置将停用用户使用 VMware Workspace ONE Intelligent Hub 从 Workspace ONE UEM MDM 中取消注册的功能。此设置仅在 VMware Workspace ONE Intelligent Hub v4.9.2 及更高版本中可用。
后台应用刷新 此设置可告知 VMware Workspace ONE Intelligent Hub 刷新应用内容的允许时间间隔上限。一些应用程序在运行一小段时间后达到挂起状态。

后台应用刷新是 iOS 中的一个功能,其中应用程序自身可从挂起状态唤醒。在此刷新期间,VMware Workspace ONE Intelligent Hub 将破解检测、硬件详细信息、GPS、iBeacon 和电信等信息报告给 UEM console。VMware Workspace ONE Intelligent Hub 刷新频率由操作系统控制且仅在有效时间内完成,例如当设备插入电源、频繁使用或连接到 Wi-Fi 时。

要使用“后台应用刷新”功能,必须在 UEM console 中启用此设置。无法在设备上停止 VMware Workspace ONE Intelligent Hub,而且必须在设置 > 常规 > 后台应用刷新下为设备上的 VMware Workspace ONE Intelligent Hub 启用“后台应用刷新”。
最小刷新间隔 选择在设备尝试刷新应用内容之前必须经过的最短时间。
只能在使用 Wi-Fi 时传输 仅允许在通过 Wi-Fi 连接时执行后台刷新。
  1. 在本指南中,从 UEM console 中的设置和策略页面,为 VMware Workspace ONE Intelligent Hub 自定义以下额外配置,以进行单点登录

后续操作

有关脱机访问、品牌以及其他设置和策略的信息,请参阅**《VMWare AirWatch Mobile Application Management 指南》**。

适用于 iOS 的 VMware Workspace ONE Intelligent Hub 移动应用程序

在注册 VMware Workspace ONE Intelligent Hub 后,应用程序默认转到我的设备屏幕。您可以在此处查看有关设备的实时信息、同步设备、重新注册设备以及阅读已从 UEM 控制台发送的消息。

必须在 UEM Console 的 Hub 设置中选中启用自助服务复选框,才能查看全部状态信息。

注:如果未在 Hub 设置中选中禁用取消注册 Hub 选项,请先选择取消注册设备,然后再向 VMware Workspace ONE Intelligent Hub v4.9.2 重新注册。

“我的设备”功能

  • 轻击状态菜单以查看各种状态和自助服务的各种诊断选项:

    • 同步设备 - 轻击此操作以发送一个与 UEM 控制台重新同步设备的请求。

    • 当前状态 – 使用菜单来查找关于注册、重新注册设备、查看账户和合规性的信息。

    • 诊断数据 – 使用这些菜单来测试连接性、查看互联网访问、连接问题、服务器信息以及查看并发送 Hub 和设备日志。

  • 轻击设备详细信息菜单来查看各种状态选项:
    • 网络 - 查看网络适配器和 IP 地址。
    • 高级 – 使用这些菜单来查找关于设备电池、内存以及磁盘空间的信息。
    • 定位- 用于查看设备当前和以前时段的 GPS 座标。
    • iBeacon - 查看 iBeacon 区域的名称。如果配置了 iBeacon 而未配置位置数据,则设备仅显示 iBeacon 区域。如果 iBeacon 和定位数据都已启用,那么设备显示 iBeacon 区域以及设备上带有定位的地图。
  • 使用屏幕下方的 Dock 来查找其他信息,包括:
    • 消息 - 读取来自 UEM 控制台的通知。例如,您可能会在消息中心收到通知,要求您必须完成合规检查以确保能够成功对您的设备进行监控。
    • 关于 - 查找有关 VMware Workspace ONE Intelligent Hub 应用程序的信息和法律信息。

VMware Workspace ONE Content

VMware Workspace ONE Content 是一款应用程序,最终用户可以通过该应用程序访问其设备上的重要内容,同时还能保证您所在组织的文件的安全。

通过 Workspace ONE Content,最终用户可以访问您在 UEM console 中上载的内容、已同步的企业存储库中的内容或用户自己的个人内容。

使用 UEM Console 添加内容,同步存储库,并配置最终用户可对应用程序内已打开的内容进行的操作。这些配置可以防止内容在未经许可的情况下被复制、共享或保存。

有关 MCM 和配置 VMware Workspace ONE Content 的更多信息,请参阅**《VMware Workspace ONE UEM 移动内容管理指南》**。

VMware Workspace ONE Web

VMware Workspace ONE Web 是一款应用程序,是本机 Web 浏览器的可管理且安全的替代程序。您可以在应用程序、隧道和网站级别保护浏览体验的安全。

您还可以通过限制对网站的 Web 访问并为移动销售终端设备提供安全的 Internet 门户,来配置 Workspace ONE Web,从而满足独特的业务需求。此应用程序为用户提供一种标准的浏览体验,包括支持多标签页浏览和 JavaScript 对话框。为了在 Android 和 iOS 设备上获得最高安全性,请考虑部署 Workspace ONE Web 并使用限制配置文件来阻止本机浏览器。

有关准备和配置 Workspace One Web 以进行部署的其他信息,请参见**《VMware Workspace ONE Web 管理员指南》**。

VMware Workspace ONE Boxer

VMware Workspace ONE Boxer 是一款电子邮件应用程序,它以消费者为中心,注重提升移动生产力,并以 AES 256 位加密的形式提供企业级安全性。此应用将来自个人数据的业务数据容器化,并让用户能够在企业和员工拥有的设备中顺畅地访问企业电子邮件、日历和联系人。

Workspace ONE Boxer 为用户提供多种功能(例如,自定义滑动手势、联系人头像、自定义智能文件夹和帐户颜色首选项等),帮助他们根据自己的需求对应用进行个性化设置。这款应用遵循设备原生应用的设计范式,集电子邮件、日历和联系人于一体,可为您提供便捷的用户体验。

有关 VMware Workspace ONE Boxer 的更多信息,请参阅**《VMware Workspace ONE Boxer 管理员指南》**。

适用于 iOS 的 AirWatch Container

AirWatch Container 通过将安全的工作空间推送到个人设备,提供了执行自带设备 (BYOD) 管理的灵活方法。企业可以将 Workspace ONE UEM 应用程序和内部应用程序分发到 AirWatch Container,供员工在其移动设备上使用。

在 AirWatch Container 内部和外部均可看到应用程序,但是,通用 SDK 框架和容器密码确保了企业应用程序的安全。这些应用能使用单点登录身份验证方法无缝地交互,并能通过应用隧道 VPN 安全连接到 Internet。

有关 AirWatch Container 的更多信息,请参阅**《VMware AirWatch Container 管理员指南》**。

强制使用应用程序级单点登录密码

单点登录 (SSO) 允许最终用户访问 Workspace ONE UEM 应用、打包应用及启用了 SDK 的应用,而不必为每个应用程序输入登录凭据。通过将 VMware Workspace ONE Intelligent Hub 或 AirWatch Container 用作“代理应用程序”,最终用户只需在每次会话使用常规凭据或 SSO 密码进行一次身份验证。

将 SSO 作为您配置的安全策略一部分应用到所有 Workspace ONE UEM 应用、打包应用以及通过默认 SDK 配置文件启用 SDK 功能的应用。

  1. 导航到组与设置 > 所有设置 > 应用 > 设置和策略 > 安全策略

  2. 单点登录设为启用,以允许最终用户访问所有 Workspace ONE UEM 应用程序并保持永久登录。

  3. 身份验证类型设置为密码,并将密码模式设置为数字字母数字,以要求在设备上使用 SSO 密码。如果您启用 SSO 而不启用任何一种“身份验证类型”,最终用户会使用其常规凭据(目录服务或 Workspace ONE UEM 账户)进行身份验证,而且不存在 SSO 密码。

在最终用户向参与 SSO 的应用程序进行身份验证时,会建立会话。该会话将保持处于活动状态,直至达到在 SDK 配置文件中定义的身份验证超时,或者用户手动锁定该应用程序为止。

Apple Configurator 概览

Workspace ONE UEM 与 Apple Configurator 集成,使您能监督和管理不同规模的 Apple iOS 设备部署。管理员可以创建配置文件、从“iPhone 配置实用工具”中导入现有配置文件、安装特定的操作系统版本并强制执行 iOS 设备的安全策略。

从 macOS 笔记本电脑安装并运行 Apple Configurator 2 以便与 Workspace ONE UEM Console 集成,从而同时监督和配置一个或多个设备。

  • 在配置过程中,安装 Workspace ONE UEM MDM 配置文件,以便静默注册设备。
  • 监督在不同的用户之间共享的业务线专用设备。
  • 创建配置文件以便更改 Wi-Fi 网络的设备设置、预配置邮件和 Microsoft Exchange 设置等。
  • 无需在设备上输入 Apple ID 即可通过 Configurator 分发公共应用。
  • 创建蓝图以自动执行设备管理。使用蓝图作为模板,对配置文件和应用程序进行配置并将它们快速推送到设备中。
  • 在设备中添加监督并利用更多管理功能,包括显示或隐藏应用程序,修改设备名称、墙纸、密码、键盘快捷方式等。
  • 备份用户的设置和应用数据,包括用户使用 Configurator 创建的新数据。

Apple Configurator 2 还能用于 Apple 的设备注册计划 (DEP),通过将纳管许可应用分配给设备来自动执行移动设备管理 (MDM) 注册和批量购买计划 (VPP)。

有关可用于受监督和不受监督设备的特性和功能的完整列表,请参阅“iOS 功能附录”。

有关使用 Apple Configurator 注册 iOS 设备的信息,请参阅使用 Apple Configurator 批量注册 iOS 设备以及与 Apple Configurator 集成指南。

将签名的 Apple Configurator 配置文件上载到 UEM Console

可以将签名的配置文件从 Apple Configurator(或 IPCU)直接导出到 UEM Console。

  1. 在 Apple Configurator (或 IPCU) 中配置监督和管理设置。

  2. 将新建的配置文件导出并保存到您计算机中一个便于读取的位置。

  3. 在 UEM console 中导航到资源 > 配置文件和基准 > 配置文件,然后选择上载

  4. 输入管理者组名称,然后选择上传以查找和上传从 Apple Configurator (或 IPCU) 导出的配置文件。单击继续

  5. 输入常规的配置文件描述,其中包括名称、描述和分配的组织组。

  6. 单击保存并发布将配置文件下发到分配的设备。

check-circle-line exclamation-circle-line close-line
Scroll to top icon